Mục Lục:
I. Giới thiệu về mô hình bài Lab
II. Cấu hình URL Filtering trên PAN VM-series
III. Cấu hình URL Filtering trên PAN VM-series dựa vào External Dynamic List
Lưu ý: tất cả các thiết bị Palo Alto trong chuổi series này đều được dựng ảo hóa hoàn toàn trên VMware và sử dụng license trial của Palo Alto cung cấp (phiên bản Palo Alto VM-series là 10.2.5.vm_eval)
I. Giới thiệu về mô hình bài Lab
Mô hình bài Lab bao gồm các thành phần như: Switch, WEB server, DNS server, AD server, PAN VM-series và các PC người dùng được phân chia làm các subnet:
Yêu cầu của bài Lab:
II. Cấu hình URL Filtering trên PAN VM-series
Tính năng URL Filtering dựa vào Policy trên Firewall Palo Alto cho phép xác định các URL nào được phép truy cập và URL nào bị chặn. Các URL được group lại với nhau theo category được Palo Alto định nghĩa và để tính năng này có thể hoạt động được cần có license URL Filtering trên Palo Alto.
Các URL Category của Palo Alto được liệt kê ở bảng bên dưới:
Lưu ý: Để kiểm tra một URL thược Category nào có 2 cách: truy cập website của Palo Alto (theo link sau) hoặc logs trên Firewall Palo Alto
II.1. Cấu hình URL Filtering trên PAN VM-series dựa vào Security policy
Để tính năng này hoạt động cần đảm bảo có license URL Filtering trong phần DEVICE > Licenses.
DB của URL sẽ được tự động update mỗi 5p mặc định thông qua cloud của Palo Alto để kiểm tra version tiến hành vào phần DASHBOARD phần URL Filtering Version.
Tiếp theo tiến hành edit policy cho phép các PC thuộc subnet 172.16.198.0/24 truy cập Internet tại tab Service/URL Category mục URL CATEGORY tiến hành chọn các URL news như hình bên dưới.
Lưu ý: khi cấu hình URL Filtering chỉ nên áp dụng cho các policy với action allow và truy cập internet.
Sau khi cấu hình xong sẽ được kết quả như hình bên dưới.
Để kiểm tra URL thuộc Category nào tiến hành truy cập vào website của Palo Alto (theo link sau) sau đó điền URL muốn kiểm tra và kết quả sẽ trả về loại Category như hình.
Tại các PC thuộc subnet 172.16.198.0/24 tiến hành truy cập vào các URL thuộc Category news sẽ thấy được kết quả bị chặn truy cập.
Trên Firewall Palo Alto vào phần MONITOR > Logs > Traffic sẽ thấy được các traffic truy cập tới URL thuôc Category news bị chặn.
Chọn Detail để xem chi tiết logs sẽ thấy được các thông tin chi tiết như action, Rule name, Category cũng như source và destination truy cập.
Tại phần MONITOR > Logs >URL Filtering sẽ thấy được các logs match với URL Category đã cấu hình trong Policy.
Chọn Detail để xem chi tiết lúc này ngoài các thông tin giống ở trên sẽ thấy thêm được thông tin của URL và có thể chọn Request Categorization Change để update lại loại Category cho URL. (chỉ áp dụng cho firewall cấu hình không phải update global trên cloud của Palo Alto)
II.2. Cấu hình Custom URL Category
Ngoài việc sử dụng các Category được Palo Alto định nghĩa, tùy vào nhu cầu mà có thể cấu hình thêm các URL Category thích hợp để cấu hình tiến hành vào phần OBJECTS > Custom Objects > URL Category > chọn Add.
Sau đó tiến hành điền các thông tin như:
Sau khi cấu hình xong tiến hành apply Custom URL Category vào Policy để chặn truy cập tới httpforever.com từ các PC thuộc subnet 172.16.198.0/24 như hình.
Trên PC thuộc subnet 172.16.198.0/24 tiến hành truy cập httpforever.com sẽ thấy kết quả không thể truy cập.
Trên Firewall vào phần MONITOR > Logs > Traffic sẽ thấy được các traffic match với Policy cũng như thông tin chi tiết các traffic match với Policy.
Tại phần MONITOR > Logs >URL Filtering sẽ thấy được các logs match với Custom URL Category đã cấu hình trong Policy.
Chọn Detail để xem chi tiết lúc này ngoài các thông tin giống ở trên sẽ thấy thêm được thông tin của URL.
III. Cấu hình URL Filtering trên PAN VM-series dựa vào External Dynamic List
Trong trường hợp muốn chặn nhiều URL dựa vào các nguồn bên ngoài (có thể thì Threat Intelligence hoặc từ các nguồn của Palo Alto) có thể xử dụng External Dynamic Lists trên Palo Alto để cấu hình vào phần OBJECTS > External Dynamic Lists > chọn Add.
Tiếp theo tiến hành cấu hình các thông tin bao gồm:
Nếu kết quả kết nối thành công thì sẽ giống hình bên dưới
Sau khi hoàn thành cấu hình ở trên tiến hành apply cho Policy với URL Category sẽ là EDL đã cấu hình cho PC thuộc subnet 172.16.198.0/24.
Trên PC thuộc subnet 172.16.198.0/24 sẽ không thể truy cập tới 1 URL 24h.com.vn được định nghĩa trong EDL như hình.
Trên Firewall vào phần MONITOR > Logs > Traffic sẽ thấy được các traffic match với Policy cũng như thông tin chi tiết các traffic match với Policy.
Tại phần MONITOR > Logs >URL Filtering sẽ thấy được các logs match với URL Category xử dụng EDL đã cấu hình trong Policy.
I. Giới thiệu về mô hình bài Lab
II. Cấu hình URL Filtering trên PAN VM-series
III. Cấu hình URL Filtering trên PAN VM-series dựa vào External Dynamic List
[LAB-8] Cấu hình tính năng URL Filtering trên PAN VM-series (Phần 1)
Lưu ý: tất cả các thiết bị Palo Alto trong chuổi series này đều được dựng ảo hóa hoàn toàn trên VMware và sử dụng license trial của Palo Alto cung cấp (phiên bản Palo Alto VM-series là 10.2.5.vm_eval)
I. Giới thiệu về mô hình bài Lab
Mô hình bài Lab bao gồm các thành phần như: Switch, WEB server, DNS server, AD server, PAN VM-series và các PC người dùng được phân chia làm các subnet:
- Outside network: 10.120.190.0/24
- User network: 172.16.198.0/24 và 172.16.199.0/24
- Server network: 172.16.100.0/24 và 172.16.10.0/24
Yêu cầu của bài Lab:
- Cấu hình Security Policy chặn các URL thuộc category news từ PC thuộc subnet 172.16.198.0/24 truy cập Internet.
- Cấu hình Custom URL Category chặn URL httpforever.com từ PC thuộc subnet 172.16.198.0/24 truy cập Internet.
- Cấu hình External Dynamic List cho phép chặn truy cập tới các URL trong list từ PC thuộc subnet 172.16.198.0/24 truy cập Internet.
II. Cấu hình URL Filtering trên PAN VM-series
Tính năng URL Filtering dựa vào Policy trên Firewall Palo Alto cho phép xác định các URL nào được phép truy cập và URL nào bị chặn. Các URL được group lại với nhau theo category được Palo Alto định nghĩa và để tính năng này có thể hoạt động được cần có license URL Filtering trên Palo Alto.
Các URL Category của Palo Alto được liệt kê ở bảng bên dưới:
URL CATEGORY | MÔ TẢ |
| Abortion | Các trang web liên quan đến thông tin liên quan đến việc phá thai |
| Abused Drugs | Các trang web quảng bá việc lạm dụng cả thuốc hợp pháp và thuốc bất hợp pháp, việc sử dụng và bán các dụng cụ liên quan đến ma túy hoặc sản xuất hoặc bán ma túy |
| Adult | Trang web có bất kỳ tài liệu, phương tiện truyền thông liên quan đến khiêu dâm |
| Alcohol and Tobacco | Các trang web liên quan đến việc bán, sản xuất hoặc sử dụng các sản phẩm rượu hoặc thuốc lá cũng như đồ dùng có liên quan |
| Artificial Intelligence | Các trang web sử dụng mô hình học máy và học sâu, bao gồm các mô hình ngôn ngữ lớn, để cung cấp các dịch vụ thường yêu cầu trí thông minh của con người, như các trang web AI như ChatGPT, Bard,... |
| Auctions | Các trang web thúc đẩy việc bán hàng hóa giữa các cá nhân |
| Business and Economy | Trang web có nội dung liên quan đến tiếp thị, quản lý, kinh tế, khởi nghiệp hoặc điều hành doanh nghiệp |
| Command and Control | Command-and-control (C2) URL được phần mềm độc hại hoặc hệ thống bị xâm nhập sử dụng để lén lút liên lạc với máy chủ từ xa của kẻ tấn công nhằm nhận các lệnh độc hại hoặc lấy cắp dữ liệu |
| Computer and Internet Info | Các trang web cung cấp thông tin chung về máy tính và internet |
| Content Delivery Networks | Các trang web có trọng tâm chính là phân phối nội dung, chẳng hạn như quảng cáo, phương tiện, tệp và máy chủ hình ảnh cho bên thứ ba |
| Copyright Infringement | Các miền có nội dung bất hợp pháp, chẳng hạn như nội dung cho phép tải xuống phần mềm hoặc tài sản trí tuệ khác bất hợp pháp, có thể tiềm ẩn rủi ro trách nhiệm pháp lý |
| Cryptocurrency | Các trang web quảng cáo tiền điện tử, trang web khai thác tiền điện tử, các nhà cung cấp và trao đổi tiền điện tử cũng như các trang web quản lý ví và sổ cái tiền điện tử |
| Dating | Các trang web cung cấp dịch vụ hẹn hò trực tuyến, lời khuyên hoặc quảng cáo cá nhân khác |
| Dynamic DNS | Các trang web cung cấp hoặc sử dụng dịch vụ DNS động để liên kết tên miền với địa chỉ IP động |
| Educational Institutions | Trang web chính thức cho các trường học, cao đẳng, đại học, khu học chánh, lớp học trực tuyến và các tổ chức học thuật khác |
| Encrypted DNS | Trang web dành cho nhà cung cấp dịch vụ phân giải DNS, cung cấp tính bảo mật và quyền riêng tư cho người dùng cuối bằng cách mã hóa các yêu cầu và phản hồi DNS bằng các giao thức như DNS qua HTTPS (DoH) |
| Entertainment and Arts | Các trang web dành cho phim ảnh, truyền hình, đài phát thanh, video, hướng dẫn hoặc công cụ lập trình, truyện tranh, nghệ thuật biểu diễn, bảo tàng, phòng trưng bày nghệ thuật hoặc thư viện |
| Extremism | Các trang web quảng bá chủ nghĩa khủng bố, phân biệt chủng tộc, chủ nghĩa phát xít hoặc các quan điểm khác phân biệt đối xử với những người hoặc nhóm có nguồn gốc dân tộc, tôn giáo và tín ngưỡng khác |
| Financial Services | Các trang web liên quan đến tài chính hoặc tư vấn cá nhân, chẳng hạn như ngân hàng trực tuyến, khoản vay, thế chấp, quản lý nợ, công ty thẻ tín dụng, trao đổi ngoại tệ (FOREX) và công ty bảo hiểm |
| Gambling | Các trang web hỗ trợ trao đổi tiền thật hoặc tiền ảo thông qua xổ số hoặc cờ bạc. Bao gồm các trang web có liên quan cung cấp thông tin, hướng dẫn hoặc lời khuyên về cờ bạc, chẳng hạn như cách đặt cược tỷ lệ cược và nhóm. |
| Games | Các trang web cung cấp khả năng chơi trực tuyến hoặc tải xuống video hoặc trò chơi máy tính, đánh giá trò chơi, thủ thuật, mánh gian lận hoặc các ấn phẩm và phương tiện truyền thông có liên quan |
| Government | Các trang web chính thức của chính quyền địa phương, tiểu bang và quốc gia cũng như các cơ quan, dịch vụ hoặc luật liên quan |
| Grayware | Các trang web có nội dung không gây ra mối đe dọa bảo mật trực tiếp nhưng lại thể hiện hành vi xâm nhập khác và cám dỗ người dùng cuối cấp quyền truy cập từ xa hoặc thực hiện các hành động trái phép khác |
| Hacking | Các trang web liên quan đến việc truy cập hoặc sử dụng thiết bị hoặc phần mềm truyền thông bất hợp pháp hoặc đáng nghi ngờ, bao gồm việc phát triển và phân phối các chương trình, lời khuyên hoặc mẹo như vậy có thể dẫn đến sự xâm phạm mạng và hệ thống |
| Health and Medicine | Các trang web chứa thông tin liên quan đến sức khỏe nói chung, các vấn đề cũng như các mẹo, biện pháp khắc phục và phương pháp điều trị truyền thống và phi truyền thống |
| Home and Garden | Các trang web có thông tin, sản phẩm và dịch vụ liên quan đến sửa chữa và bảo trì nhà cửa, kiến trúc, thiết kế, xây dựng, trang trí và làm vườn |
| Hunting and Fishing | Trang web cung cấp mẹo hoặc hướng dẫn săn bắn và câu cá hoặc tạo điều kiện thuận lợi cho việc bán thiết bị và đồ dùng có liên quan |
| Insufficient Content | Các trang web và dịch vụ hiển thị các trang thử nghiệm, không có nội dung, cung cấp quyền truy cập API không nhằm mục đích hiển thị cho người dùng cuối hoặc yêu cầu xác thực mà không hiển thị bất kỳ nội dung nào khác gợi ý phân loại khác. |
| Internet Communications and Telephony | Các trang web hỗ trợ hoặc cung cấp dịch vụ trò chuyện video, nhắn tin tức thời hoặc các khả năng điện thoại khác |
| Internet Portals | Các trang web đóng vai trò là điểm khởi đầu cho người dùng, thường bằng cách tổng hợp nhiều nội dung và chủ đề |
| Job Search | Trang web cung cấp danh sách việc làm, đánh giá của nhà tuyển dụng, lời khuyên và thủ thuật phỏng vấn hoặc các dịch vụ liên quan cho cả nhà tuyển dụng và ứng viên tiềm năng |
| Legal | Các trang web cung cấp thông tin, phân tích hoặc tư vấn về luật pháp, dịch vụ pháp lý, công ty pháp lý hoặc các vấn đề liên quan đến pháp lý khác |
| Malware | Các trang web chứa hoặc được biết là lưu trữ nội dung độc hại, tệp thực thi, tập lệnh, vi rút, trojan |
| Military | Các trang web có thông tin hoặc bình luận về các quân chủng, tuyển dụng, hoạt động hiện tại hoặc trước đây hoặc bất kỳ trang thiết bị liên quan nào |
| Motor Vehicles | Trang web có thông tin liên quan đến đánh giá, bán hàng, giao dịch, sửa đổi, phụ tùng và các thảo luận liên quan khác về ô tô, xe máy, thuyền, xe tải và phương tiện giải trí (RV) |
| Music | Các trang web liên quan đến việc bán, phân phối hoặc thông tin âm nhạc |
| Newly Registered Domains | Các trang web đã được đăng ký trong vòng 32 ngày qua |
| News | Các ấn phẩm trực tuyến, dịch vụ tin tức và các trang web khác tổng hợp các sự kiện hiện tại, thời tiết hoặc các vấn đề đương đại khác |
| Not-Resolved | Danh mục này cho biết rằng không tìm thấy trang web trong cơ sở dữ liệu lọc URL cục bộ và tường lửa không thể kết nối với cơ sở dữ liệu đám mây để kiểm tra danh mục |
| Nudity | Các trang web chứa mô tả khỏa thân hoặc bán khỏa thân về cơ thể con người, bất kể bối cảnh hay mục đích, chẳng hạn như tác phẩm nghệ thuật |
| Online Storage and Backup | Các trang web cung cấp dịch vụ lưu trữ tệp trực tuyến miễn phí hoặc dưới dạng dịch vụ. Bao gồm các trang chia sẻ ảnh |
| Parked | URL lưu trữ nội dung hạn chế hoặc quảng cáo nhấp qua, có thể tạo doanh thu cho thực thể lưu trữ nhưng thường không chứa nội dung hữu ích cho người dùng cuối |
| Peer-to-peer | Các trang web cung cấp quyền truy cập hoặc ứng dụng khách để chia sẻ ngang hàng các torrent, chương trình tải xuống, tệp phương tiện hoặc các ứng dụng phần mềm khác |
| Personal Sites and Blogs | Các trang web và blog cá nhân của cá nhân hoặc nhóm |
| Philosophy and Political Advocacy | Trang web chứa thông tin, quan điểm hoặc chiến dịch liên quan đến quan điểm triết học hoặc chính trị |
| Phishing | Nội dung web cố gắng thu thập thông tin một cách tình cờ, chẳng hạn như thông tin đăng nhập, thông tin thẻ tín dụng, số tài khoản, mã PIN và thông tin nhận dạng cá nhân (PII) khác, một cách tự nguyện hoặc không tự nguyện, từ các nạn nhân sử dụng kỹ thuật lừa đảo xã hội |
| Private IP Addresses | Gồm các trang web với địa chỉ ip private hoặc có duôi là *.local và *.onion |
| Proxy Avoidance and Anonymizers | Máy chủ proxy và các phương pháp khác bỏ qua việc lọc hoặc giám sát URL |
| Questionable | Trang web chứa nội dung hài hước hoặc xúc phạm vô vị nhắm mục tiêu đến các nhóm người hoặc cá nhân cụ thể |
| Ransomware | Các trang web được biết là lưu trữ phần mềm tống tiền hoặc lưu lượng truy cập độc hại liên quan đến việc thực hiện các chiến dịch phần mềm tống tiền thường đe dọa xuất bản dữ liệu riêng tư hoặc chặn quyền truy cập vào dữ liệu hoặc hệ thống cụ thể, thường bằng cách mã hóa dữ liệu đó, cho đến khi khoản tiền chuộc theo yêu cầu được trả |
| Real Estate | Trang web cung cấp thông tin về việc cho thuê, bán bất động sản và các mẹo hoặc thông tin liên quan |
| Real-Time Detection | Các URL đã được phân tích và phát hiện bằng phân tích nội tuyến theo thời gian thực như một phần của Advanced URL Filtering |
| Recreation and Hobbies | Các trang web bao gồm thông tin, diễn đàn, hiệp hội, nhóm hoặc ấn phẩm liên quan đến hoạt động giải trí và sở thích |
| Reference and Research | Các trang web cung cấp cổng thông tin, tài liệu hoặc dịch vụ tham khảo cá nhân, nghề nghiệp hoặc học thuật, bao gồm từ điển trực tuyến, bản đồ, niên giám, thông tin điều tra dân số, thư viện, phả hệ và thông tin khoa học |
| Religion | Các trang web có thông tin liên quan đến nhiều tôn giáo, hoạt động hoặc sự kiện liên quan |
| Scanning Activity | Các chiến dịch được thực hiện bởi đối thủ có thể là dấu hiệu của sự xâm phạm hoặc nỗ lực tiến hành các cuộc tấn công có chủ đích hoặc thăm dò các lỗ hổng hiện có. Đây thường là một phần của hoạt động trinh sát do đối thủ tiến hành cần có license Advanced URL Filtering |
| Search Engines | Các trang web cung cấp giao diện tìm kiếm bằng cách sử dụng từ khóa, cụm từ hoặc các tham số khác có thể trả về thông tin, trang web, hình ảnh hoặc các tệp khác dưới dạng kết quả |
| Sex Education | Các trang web cung cấp thông tin về sinh sản, phát triển tình dục, thực hành tình dục an toàn, các bệnh lây truyền qua đường tình dục, kiểm soát sinh đẻ, mẹo để quan hệ tình dục tốt hơn và bất kỳ sản phẩm hoặc dụng cụ nào có liên quan |
| Shareware and Freeware | Các trang web cung cấp quyền truy cập vào phần mềm, trình bảo vệ màn hình, biểu tượng, hình nền, tiện ích, nhạc chuông, chủ đề hoặc tiện ích miễn phí hoặc quyên góp |
| Shopping | Các trang web hỗ trợ việc mua hàng hóa và dịch vụ |
| Social Networking | Cộng đồng người dùng hoặc trang web nơi người dùng tương tác với nhau, đăng tin nhắn, hình ảnh và giao tiếp với các nhóm người |
| Society | Các trang web có nội dung liên quan đến dân chúng nói chung hoặc các vấn đề tác động đến nhiều người, chẳng hạn như thời trang, sắc đẹp, nhóm từ thiện, xã hội hoặc trẻ em |
| Sports | Trang web có thông tin về các sự kiện thể thao, vận động viên, huấn luyện viên, quan chức, đội hoặc tổ chức, tỷ số, lịch thi đấu, tin tức liên quan hoặc dụng cụ thể thao |
| Stock Advice and Tools | Trang web có thông tin về thị trường chứng khoán, giao dịch cổ phiếu hoặc quyền chọn, quản lý danh mục đầu tư, chiến lược đầu tư, báo giá hoặc tin tức liên quan |
| Streaming Media | Các trang web truyền trực tuyến nội dung âm thanh hoặc video miễn phí hoặc mua, bao gồm các đài phát thanh trực tuyến, dịch vụ phát nhạc trực tuyến và lưu trữ podcast |
| Swimsuits and Intimate Apparel | Các trang web bao gồm thông tin hoặc hình ảnh liên quan đến đồ bơi, trang phục kín đáo hoặc trang phục khêu gợi khác |
| Training and Tools | Các trang web cung cấp giáo dục, đào tạo trực tuyến và các tài liệu liên quan |
| Translation | Các trang web cung cấp dịch vụ dịch thuật, bao gồm cả thông tin đầu vào của người dùng và bản dịch URL |
| Travel | Các trang web cung cấp thông tin về du lịch, chẳng hạn như mẹo, ưu đãi, giá cả, thông tin điểm đến, du lịch và các dịch vụ liên quan, chẳng hạn như công cụ đặt chỗ hoặc theo dõi giá |
| Unknown | Các trang web chưa được Palo Alto Networks xác định |
| Weapons | Trang web xử lý việc bán hàng hoặc đưa ra đánh giá, mô tả hoặc hướng dẫn về vũ khí, áo giáp, áo chống đạn và cách sử dụng chúng |
| Web Advertisements | Các trang web có quảng cáo, phương tiện truyền thông, nội dung và biểu ngữ |
| Web-based Email | Bất kỳ trang web nào cung cấp quyền truy cập vào hộp thư đến email cũng như khả năng gửi và nhận email |
| Web Hosting | Các trang web cung cấp dịch vụ lưu trữ miễn phí hoặc trả phí cho các trang web |
Lưu ý: Để kiểm tra một URL thược Category nào có 2 cách: truy cập website của Palo Alto (theo link sau) hoặc logs trên Firewall Palo Alto
II.1. Cấu hình URL Filtering trên PAN VM-series dựa vào Security policy
Để tính năng này hoạt động cần đảm bảo có license URL Filtering trong phần DEVICE > Licenses.
DB của URL sẽ được tự động update mỗi 5p mặc định thông qua cloud của Palo Alto để kiểm tra version tiến hành vào phần DASHBOARD phần URL Filtering Version.
Tiếp theo tiến hành edit policy cho phép các PC thuộc subnet 172.16.198.0/24 truy cập Internet tại tab Service/URL Category mục URL CATEGORY tiến hành chọn các URL news như hình bên dưới.
Lưu ý: khi cấu hình URL Filtering chỉ nên áp dụng cho các policy với action allow và truy cập internet.
Sau khi cấu hình xong sẽ được kết quả như hình bên dưới.
Để kiểm tra URL thuộc Category nào tiến hành truy cập vào website của Palo Alto (theo link sau) sau đó điền URL muốn kiểm tra và kết quả sẽ trả về loại Category như hình.
Tại các PC thuộc subnet 172.16.198.0/24 tiến hành truy cập vào các URL thuộc Category news sẽ thấy được kết quả bị chặn truy cập.
Trên Firewall Palo Alto vào phần MONITOR > Logs > Traffic sẽ thấy được các traffic truy cập tới URL thuôc Category news bị chặn.
Chọn Detail để xem chi tiết logs sẽ thấy được các thông tin chi tiết như action, Rule name, Category cũng như source và destination truy cập.
Tại phần MONITOR > Logs >URL Filtering sẽ thấy được các logs match với URL Category đã cấu hình trong Policy.
Chọn Detail để xem chi tiết lúc này ngoài các thông tin giống ở trên sẽ thấy thêm được thông tin của URL và có thể chọn Request Categorization Change để update lại loại Category cho URL. (chỉ áp dụng cho firewall cấu hình không phải update global trên cloud của Palo Alto)
II.2. Cấu hình Custom URL Category
Ngoài việc sử dụng các Category được Palo Alto định nghĩa, tùy vào nhu cầu mà có thể cấu hình thêm các URL Category thích hợp để cấu hình tiến hành vào phần OBJECTS > Custom Objects > URL Category > chọn Add.
Sau đó tiến hành điền các thông tin như:
- Name: Tên của Category Custom
- Type: chọn kiểu Category ở đây có 2 option: URL List tự định nghĩa các URL phù hợp hoặc Category Match cho phép chọn nhiều Category do Palo Alto định nghĩa
- SITES: điền các URL thích hợp
- CATEGORIES: chọn các Category phù hợp
Sau khi cấu hình xong tiến hành apply Custom URL Category vào Policy để chặn truy cập tới httpforever.com từ các PC thuộc subnet 172.16.198.0/24 như hình.
Trên PC thuộc subnet 172.16.198.0/24 tiến hành truy cập httpforever.com sẽ thấy kết quả không thể truy cập.
Trên Firewall vào phần MONITOR > Logs > Traffic sẽ thấy được các traffic match với Policy cũng như thông tin chi tiết các traffic match với Policy.
| 
|
Chọn Detail để xem chi tiết lúc này ngoài các thông tin giống ở trên sẽ thấy thêm được thông tin của URL.
III. Cấu hình URL Filtering trên PAN VM-series dựa vào External Dynamic List
Trong trường hợp muốn chặn nhiều URL dựa vào các nguồn bên ngoài (có thể thì Threat Intelligence hoặc từ các nguồn của Palo Alto) có thể xử dụng External Dynamic Lists trên Palo Alto để cấu hình vào phần OBJECTS > External Dynamic Lists > chọn Add.
Tiếp theo tiến hành cấu hình các thông tin bao gồm:
- Name: tên của EDL
- Type: chọn URL List để update các URL từ EDL
- Source: nguồn cung cấp list URL
- Check for updates: thời gian query định kỳ để update list URL
- Test Source URL: kiểm tra kết nối tới EDL
Nếu kết quả kết nối thành công thì sẽ giống hình bên dưới
Sau khi hoàn thành cấu hình ở trên tiến hành apply cho Policy với URL Category sẽ là EDL đã cấu hình cho PC thuộc subnet 172.16.198.0/24.
Trên PC thuộc subnet 172.16.198.0/24 sẽ không thể truy cập tới 1 URL 24h.com.vn được định nghĩa trong EDL như hình.
Trên Firewall vào phần MONITOR > Logs > Traffic sẽ thấy được các traffic match với Policy cũng như thông tin chi tiết các traffic match với Policy.
| 
|
| 
|
Attachments
Last edited:
![[LAB-14] Cấu hình tính năng Zone Protection trên PAN VM-series](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABCAQAAAC1HAwCAAAAC0lEQVR42mP8Xw8AAoMBgDTD2qgAAAAASUVORK5CYII=)